Hallo alle miteinander ich möchte mal ein Szenario durchgehen um das besser zu verstehen.

Also wir nehmen an das unser Webserver gehackt wurde, jetzt hat der Hacker ja zugriff auf den Server kann alose die PHP Dateien und die DB Sehen.
Aber was bringt dann das PW Hash+Salt wenn er doch den Code sehen kann.

Wenn er sich die DB gezogen hat braucht er keine Hashes mehr. Er hat ja alles was er will. Außer dem PW. Denn die Funktion Hash + Salt ist nicht umkehrbar.
Ich würde trotzdem alle Kunden informieren das eingebrochen wurde und alles PW trotzdem zurücksetzen.

i.d.R. sollte es so sein, das er damit noch nicht das Passwort hat.

Er müsste solange die Passwörter durchtesten bis ein Hash passt.

Es geht darum, die Passworte des Benutzers zu schützen. Die meisten Leute benutzen das gleiche Passwort für alle/viele Dienste.
Wenn in deiner Datenbank auch eine eMail-Adresse steht, kommt der Hacker bei einem großen Teil der Leute auch an ihr eMail-Konto ... was meist der Schlüssel zu sämtlichen anderen Online-Aktivitäten ist.
In einem industriellen Umfeld ließe sich mit einem erbeutetem eMail-Konto sicher auch einiges an Schaden anrichten.

Was bei den meisten Hashfunktionen nicht das größte Problem ist.
Hier wurde das wichtigste schonmal gesagt. Insbesondere, wenn die zu erbeutenden Identitäten etwas wert sind, sollte man beim Speichern der Passworte vorsichtig sein.

Ein Fehler wäre es, ein Passwort

• im Klartext
• ungesalzen gehasht
• mit einem für die Datenbank festen Salt gehasht
• mit einer ressourcensparenden Funktion gehasht

zu speichern.

Deswegen: bcrypt, scrypt oder PBKDF2 mit einer der Sicherheit angemessenen Anzahl an Runden verwenden.
bcrypt gibt es zB. hier für PHP von der Community, die auch hinter John the Ripper steckt.

Deine eigentliche Frage ist also "Was bringt das Salt beim Hashen eines Passworts" wenn ich das richtig verstanden habe?

Übrigens ist der Anfangstitel dieses Threads falsch geschrieben. Versuch mal ob du das nicht ändern kannst.

Das habe ich eben erledigt.

Danke fürs ändern.

Und ja was bringt Salt und Hash wenn der Hacker doch weis wie der HASH aufgebaut wird.

Dann kann er doch ganz schnell ein Algo bauen und muss nur noch durch Testen.

Und das ganz ist nicht passiert ich will nur Vorsichtmastnahmen treffen wenn das passieren soll, und deshalb das ganz besser Verstehen.

Salt schützt vor allem davor, dass bereits vorberechnete Rainbow-Tables verwendet werden können, was das "knacken" der Passwörter zu einer Sache von Sekunden machen würde. So müsste der Angreifer erst eine spezielle Rainbow-Table mit dem Salt aufbauen, was teuer ist. Noch besser wird es dann offensichtlich, wenn du für jeden User einen eigenen Salt verwendest. Denn dann müsste der Angreifer für jeden einzelnen Hash eine eigene Rainbow-Table aufbauen, was schlicht nicht praktikabel ist. Und ohne die Rainbow-Tables bleibt eben nur ein stupider Brute-Force-Angriff... was ebensowenig praktikabel ist.

Das Stalz schützt vorallem die Kunden, denn Viele verwenden fast überall das selbe Passwort.

Derjenige, welche jetzt die versalzenen Hashs der Passwörter besitzt, kann sich nun nicht so leicht auch in andere Systeme schleichen.
Es gibt ja leider immernoch große Webseiten, welche die Passwörter im Klartext zu speichern scheinen (irgendeine Seite hatte mir mal vor einer Weile mein Passwort zugeswchickt, als ich auf "Passwort vergessen" klickte).

Mit diesem Passwort und den anderen persönlichen Daten kann man sich nun sehr leicht die Zugriffsdaten für andere Webseiten/Systeme zusammenstellen. das Zählt dann bestimmt schon zum Social Hacking.

ich hatte das vor Jahren auch mal auf meinem Server...

Der Hacker hat im Bootloader ein Teil der Festplatte reserviert (Unsichtbar für Windows) und einen Keylogger.
Im unsichtbaren Teil wurden Dateien für Filesharing hinterlegt und mein Traffic ist explodiert!

Mavarik